Kişisel verilerin korunması neden önemlidir?

Platform Söyleşileri - 12 Şubat 2019, Salı

altKişisel Verileri Koruma Kanunu'nun yürürlüğe girmesiyle çoğu sektörde ciddi bir hazırlıksız yakalanma hali oluşurken, bu bilgilerin depolanması veya işlenmesi adına doğru ve somut adım atabilen şirket sayısı oldukça az. Çoğu şirket hala düzenlemeye uygun biçimde hareket etmiyor. Anayasal güvence altına alınan kişisel verilerle ilgili olarak Avukat Baran Usanmaz, sorularımızı şöyle yanıtladı...

Kişisel verilerin korunması neden önemlidir?
Öncelikle belirtilmelidir ki, her türlü şirketin ya da işyerlerinin, ki bunlar restorandan eczaneye kadar farklılık gösterebilir, günlük hayatta elde ettiği ve dijital olarak sakladığı tüm kişisel bilgilerin uygun şekilde korunması da zorunludur. İşletmeler tarafından sıkça depolanan bilgilerin önemli parçaları; Çalışanların kayıtları, müşteri kimlik detayları, sadakat planları, müşterilerce tesis edilen işlemlerin dökümlerinden oluşmakla birlikte, bu hususlara dair verilerin korunması önem arz etmektedir. Bu konudaki önem, hukuka aykırı bir şekilde kimlik avı dolandırıcılığı, kimlik hırsızlığı, kimlik bilgilerinin kopyalanarak resmi kurumlarda aleyhte kullanılması ve hatta işlenmiş bir suçun arkasında başkasına ait kimlik bilgilerinin bırakılması nedenleriyle üçüncü kişilerce verilerin kötüye kullanılmasını durdurmak olarak ortaya çıkmaktadır.
 
Daha detaylı olarak depolanan yaygın veriler; Kişilere ait isimler, adresler, e-postalar, telefon numaraları, banka ve kredi kartı bilgileri ile sağlık bilgilerinden oluşmaktadır ve bu veriler kişilerle ilgili olabilecek hassas durumları içerdiğinden, tüm bu bilgilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca korunması ve işletmelerin belirli ilkelere uyması esastır.

Sosyal medya hesaplarında kişisel verilerin korunması mümkün müdür?
Bir bütün olarak kişisel verilerin niteliğinin, öneminin ve korunmasının zarureti gündem maddesi olarak ülkemizde ön plana çıkması, Nisan 2016’da Avrupa Birliği’nde kabul edilen ve 25 Mayıs 2018’de yürürlüğe giren Genel Veri Koruma Yönetmeliği (GDPR) ile oluşmuştur. Söz konusu yönetmelik, Avrupa Birliği (AB) içindeki bireylerin kişisel bilgilerinin toplanması ve işlenmesi için kurallar belirleyen yasal bir çerçevedir. GDPR veri yönetimi ve bireyin haklarına ilişkin prensipleri belirlerken, aynı zamanda da bir cezai yaptırım halinde, ihlale meydan veren şirketin veya işletmenin yıllık geliri üzerinden belirlenecek para cezaları da getirmektedir. Genel Veri Koruma Yönetmeliği, AB vatandaşlarının verileriyle ilgilenen tüm AB içi veya dışında faaliyet gösteren işletmeleri de kapsadığından, kritik bir düzenlemedir. 
AB ile uyum yasalarımız çerçevesinde ve GDPR ile bağlantılı olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu da bu nedenlerle hızlıca ülkemizde yürürlük kazanmıştır. Dolayısıyla söz konusu düzenlemeler bir nevi AB dışındaki ülkelere de genişletilmiş olduğundan, sosyal medya şirketlerinin bu hükümlere uyması ayrı bir önem kazanmıştır.
Ancak 2018 yılında en büyük sosyal mecra Facebook kurucusu Mark Zuckerberg’ün Amerika Birleşik Devletleri senatosu önünde, Facebook tarafından yapıldığı iddia edilen hukuka aykırı kişisel veri toplanması, depolanması, işlenmesi ve hatta üçüncü kişi şirketlere bu verilerin kullanıcılardan habersiz satılması konularında verdiği ifadelerde çelişkili cevaplar vererek, bazı noktaları saklaması sosyal medya hesaplarındaki verilerin korunmasındaki nitelikler hakkında önemli sayıda soru işareti oluşturmuştur. Henüz resmi olarak Facebook Türkiye veyahut Instagram, Twitter gibi diğer büyük sosyal mecraların ülkemiz ofisi bulunmadığından, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerinin tam olarak ya da gereği gibi sosyal medya alanında uygulanabilmesi maalesef olanaklı olamadığından, kullanıcıların her daim sosyal medya üzerinden ifade ettikleri yazı, paylaşım, bilgi ya da anlık durum bildirilerinde dikkatli olmaları önemlidir.
 
Kişisel veriler yurtiçi ve yurtdışında hangi koşullarda paylaşılabilir?
Genel kural olarak kişisel veriler, verinin ait olduğu kişinin açık rızası olmadan paylaşılamaz. Bu nedenle işletmelerin bu yönde bir amaçları olması halinde, işlem yapacakları kişiye durumu önceden anlatmalı ve açık rızasını elde etmelidir. Ancak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun tesis ettiği bazı istisna hallerinde verinin yurtiçinde paylaşılması için açık rıza aranmayabilir – bunlar; Başka kanunlarda açıkça paylaşımın yapılabileceğinin öngörülmesi. fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin (örn. Vesayet altında bulunan kişilerin), söz konusu paylaşımın kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından verinin önceden halka açıklanmış olması ve bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halleridir.

Yurtdışı paylaşımlar için de kişinin açık rızasının alınması zorunlu olmakla beraber, yukarıdaki istisna halleri de geçerlidir. Ancak bu istisna hallerine dayanılarak yurtdışına paylaşımın yapılabilmesi için ayrıca kişisel verinin aktarılacağı yabancı ülkede; Yeterli korumanın bulunması, Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulun izninin bulunması zorunludur. 

Kanun çıkmadan önce toplanan kişisel verilerin durumu ne olacak?
6698 sayılı Kişisel Verilerin Korunması Kanunuyayımı tarihinden önce toplanan, depolanan ve işlenmiş olan kişisel veriler, kanun yayımı tarihinden itibaren iki yıl içinde Kanun hükümlerine uygun hale getirilmelidir.
Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhal silinir, yok edilir veya anonim hale getirilir. Ancak Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde, Kanuna uygun kabul edilecektir. 
Şirketler açısından bir diğer nokta ise; Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere ilgili şirket bünyesinden üst düzey bir yönetici belirlenerek Kuruma bildirilmelidir.
 
Kişisel Verilerin Korunması Kanunu kapsamında şirketlerin yükümlülükleri nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunuile birlikte pek çok yenilik ve yükümlülük getirilmiş olmasına rağmen, öncelikle ve ilk başta en önemli olarak şirketlerin dikkat etmesi gereken hususlar; Kişisel bilgilerinden herhangi birini işlemeden önce müşterilerden açık onay alınmalı, müşteri tarafından paylaşılan verilerin anonim olarak şirket kayıtlarında tutularak müşteri gizliliği korunmalı, veri sızıntısı veya güvenlik ihlali durumunda derhal müşterilere bildirim gönderilmeli, talep üzerine belirli bir müşteriden toplanan tüm kişisel verilerin ücretsiz bir elektronik kopyasının ilgili müşteriye sağlanması ve söz konusu verilerin ilk etapta neden toplanmadığı ve amacının açıklanması (bu durum müşterinin “Erişim Hakkı” olarak bilinmektedir) talep üzerine belirli bir müşterinin verilerini derhal silinmesi ( “Unutulma Hakkı” olarak ortaya çıkabilir) ve işletme ya da şirket bünyesinde tam zamanlı olarak görev yapacak Veri Koruma Görevlisi atanması şeklinde özetlenebilir.
 

4130 kez okunmuş

Yorum yapabilmek için üye girişi yapmış olmalısınız.